据 OKEx 公告称,4 月 22 日 13 时左右,BEC 出现异常交易。
OKEx 公告
慢雾安全团队第一时间分析发现,BEC 智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量转账函数存在漏洞,攻击者可传入很大的 value 数值,使 cnt * value 后超过 unit256 的最大值使其溢出导致 amount 变为 0。
batchTransfer 函数
这样攻击者的账户不会转出任何 BEC,但是接收方却可以收到大量 BEC。
交易详情
接收方1
接收方2
通过此次漏洞分析,慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额 amount 是否大于 0,以及在 for 循环内执行 balances[msg.sender].sub(value) 操作。
这类漏洞属于不可逆的破坏型漏洞,建议其他智能合约发布方及时自查。
关于慢雾科技
厦门慢雾科技有限公司,专注区块链生态安全,总部位于厦门,由一支拥有十多年一线网络安全攻防实践的团队创建。团队曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队多项成果也曾进入过 Black Hat 等全球黑客大会。慢雾科技的核心能力包括:安全审计、防御部署、地下黑客风向标追踪。慢雾科技已经为全球多家交易所、钱包、智能合约等做了安全审计与防御部署,并通过独有的地下黑客风向标追踪引擎,持续为合作公司及国家相关部门提供威胁情报。
